| AdditionalFields |
动态 |
如果架构中没有相应的列匹配,则可将附加字段存储在 JSON 包中。 |
| _BilledSize |
real |
记录大小(字节) |
| CloudAppId |
string |
HTTP 应用程序的目标应用程序的 ID,由代理标识。 此值通常特定于所用的代理。 |
| CloudAppName |
string |
HTTP 应用程序的目标应用程序的名称,由代理标识。 |
| CloudAppOperation |
string |
用户在 HTTP 应用程序的目标应用程序上下文中执行的操作,由代理标识。 此值通常特定于所用的代理。 |
| CloudAppRiskLevel |
string |
与 HTTP 应用程序关联的风险级别,由代理标识。 此值通常特定于所用的代理。 |
| DstBytes |
long |
从连接或会话的目标发送到源的字节数。 |
| DstDomainHostname |
string |
目标主机的域。 |
| DstDvcDomain |
string |
目标设备的域。 |
| DstDvcFqdn |
string |
在其中创建了日志的主机的完全限定域名。 |
| DstDvcHostname |
string |
目标设备的设备名称。 |
| DstDvcIpAddr |
string |
不直接与网络数据包关联的设备的目标 IP 地址。 |
| DstDvcMacAddr |
string |
不直接与网络数据包关联的设备的目标 MAC 地址。 |
| DstGeoCity |
string |
与目标 IP 地址关联的城市。 |
| DstGeoCountry |
string |
与源 IP 地址关联的国家/地区。 |
| DstGeoLatitude |
real |
与目标 IP 地址关联的地理坐标的纬度。 |
| DstGeoLongitude |
real |
与目标 IP 地址关联的地理坐标的经度 |
| DstGeoRegion |
string |
与目标 IP 地址关联的国家/地区中的区域。 |
| DstInterfaceGuid |
string |
用于身份验证请求的网络接口的 GUID。 |
| DstInterfaceName |
string |
由目标设备用来建立连接或会话的网络接口。 |
| DstIpAddr |
string |
连接或会话目标的 IP 地址。 |
| DstMacAddr |
string |
终止了连接或会话的网络接口的 MAC 地址。 |
| DstNatIpAddr |
string |
如果中介 NAT 设备(例如防火墙)报告了该值,则该值是由 NAT 设备用来与源通信的 IP 地址。 |
| DstNatPortNumber |
int |
如果中介 NAT 设备(例如防火墙)报告了该值,则该值是由 NAT 设备用来与源通信的端口。 |
| DstPackets |
long |
从连接或会话的目标发送到源的数据包数。 数据包的含义由报告设备定义。 |
| DstPortNumber |
int |
目标 IP 端口。 |
| DstResourceId |
string |
目标设备的资源 ID。 |
| DstUserAadId |
string |
位于会话目标端的用户的 Azure AD 帐户对象 ID。 |
| DstUserDomain |
string |
位于会话目标中的帐户的域名或计算机名。 |
| DstUserName |
string |
与会话目标关联的标识的用户名。 |
| DstUserSid |
string |
与会话目标关联的标识的用户 ID。 通常,它是用来对服务器进行身份验证的标识。 |
| DstUserUpn |
字符串 |
与会话目标关联的标识的 UPN。 |
| DstZone |
string |
目标的网络区域,由报告设备定义。 |
| DvcAction |
string |
如果中介设备(例如防火墙)报告了该值,则该值是该设备执行的操作。 |
| DvcHostname |
string |
生成消息的设备的设备名称。 |
| DvcInboundInterface |
string |
如果中介设备(例如防火墙)报告了该值,则该值是该设备用来连接到源设备的网络接口。 |
| DvcIpAddr |
string |
生成记录的设备的 IP 地址。 |
| DvcMacAddr |
string |
从中发送了事件的报告设备的网络接口的 MAC 地址。 |
| DvcOutboundInterface |
string |
如果中介设备(例如防火墙)报告了该值,则该值是该设备用来连接到目标设备的网络接口。 |
| EventCount |
int |
聚合的事件数(如果适用)。 |
| EventEndTime |
datetime |
事件的结束时间。 |
| EventMessage |
string |
常规消息或说明,包含在记录中或者根据记录生成。 |
| EventOriginalUid |
string |
报告设备中的记录 ID。 |
| EventProduct |
string |
生成事件的产品。 |
| EventProductVersion |
string |
生成事件的产品的版本。 |
| EventReportUrl |
string |
报告设备创建的完整报告的链接。 |
| EventResourceId |
string |
生成消息的设备的资源 ID。 |
| EventResult |
string |
针对活动报告的结果。 不适用时为空值。 |
| EventResultDetails |
string |
EventResult 中报告的结果的原因 |
| EventSchemaVersion |
string |
Azure Sentinel 架构版本。 |
| EventSeverity |
string |
如果报告的活动会造成安全影响,则指示影响的严重性。 |
| EventStartTime |
datetime |
事件的开始时间。 |
| EventSubType |
string |
类型的附加说明(如果适用)。 |
| EventTimeIngested |
datetime |
将事件引入 Azure Sentinel 的时间。 将由 Azure Sentinel 添加。 |
| EventType |
string |
要收集的事件的类型。 |
| EventUid |
string |
Sentinel 用于标记行的唯一标识符。 |
| EventVendor |
string |
生成事件的产品的供应商。 |
| FileExtension |
string |
通过网络连接为协议(例如 FTP 和 HTTP)传输的文件的类型。 |
| FileHashMd5 |
string |
通过网络连接为协议传输的文件的 MD5 哈希值。 |
| FileHashSha1 |
string |
通过网络连接为协议传输的文件的 SHA1 哈希值。 |
| FileHashSha256 |
string |
通过网络连接为协议传输的文件的 SHA256 哈希值。 |
| FileHashSha512 |
string |
通过网络连接为协议传输的文件的 SHA512 哈希值。 |
| FileMimeType |
string |
通过网络连接为协议(例如 FTP 和 HTTP)传输的文件的 MIME 类型。 |
| FileName |
string |
通过网络连接为提供文件名信息的协议(例如 FTP 和 HTTP)传输的文件名。 |
| 文件路径 |
string |
文件的完整路径,包括文件名。 |
| FileSize |
int |
通过网络连接为协议传输的文件的文件大小,以字节为单位。 |
| HttpContentType |
string |
HTTP/HTTPS 网络会话的 HTTP 响应内容类型头。 |
| HttpReferrerOriginal |
string |
HTTP/HTTPS 网络会话的 HTTP referrer 头。 |
| HttpRequestMethod |
string |
HTTP/HTTPS 网络会话的 HTTP 方法。 |
| HttpRequestTime |
int |
将请求发送到服务器所花费的时间(如果适用)。 |
| HttpRequestXff |
string |
HTTP/HTTPS 网络会话的 HTTP X-Forwarded-For 头。 |
| HttpResponseTime |
int |
在服务器中接收响应所花费的时间(如果适用)。 |
| HttpStatusCode |
string |
HTTP/HTTPS 网络会话的 HTTP 状态代码。 |
| HttpUserAgentOriginal |
string |
Http/HTTPS 网络会话的 HTTP 用户代理头。 |
| HttpVersion |
string |
HTTP/HTTPS 网络连接的 HTTP 请求版本。 |
| _IsBillable |
string |
指定引入数据是否计费。 当 _IsBillable 为 false 时,不会向 Azure 帐户计收引入费 |
| NetworkApplicationProtocol |
string |
连接或会话使用的应用程序层协议。 |
| NetworkBytes |
long |
双向发送的字节数。 如果 BytesReceived 和 BytesSent 都存在,则 BytesTotal 应等于它们的总和。 |
| NetworkDirection |
string |
连接或会话的方向:入站到组织或者从组织出站。 |
| NetworkDuration |
int |
完成网络会话或连接所花费的时间,以毫秒为单位。 |
| NetworkIcmpCode |
int |
对于 ICMP 消息,该值是 ICMP 消息类型的数字值(RFC 2780 或 RFC 4443)。 |
| NetworkIcmpType |
string |
对于 ICMP 消息,该值是 ICMP 消息类型的文本表示形式(RFC 2780 或 RFC 4443)。 |
| NetworkPackets |
long |
双向发送的数据包数。 如果 PacketsReceived 和 PacketsSent 都存在,则 BytesTotal 应等于它们的总和。 |
| NetworkProtocol |
string |
连接或会话使用的 IP 协议。 通常为 TCP、UDP 或 ICMP。 |
| NetworkRuleName |
string |
确定 DeviceAction 时所依据的规则的名称或 ID。 |
| NetworkRuleNumber |
int |
匹配的规则编号。 |
| NetworkSessionId |
string |
报告设备报告的会话标识符。 |
| SourceSystem |
string |
收集事件的代理的类型。 例如,适用于 Windows 代理的 OpsManager、直接连接或 Operations Manager、适用于所有 Linux 代理的 Linux 或适用于 Azure 诊断的 Azure |
| SrcBytes |
long |
从连接或会话的源发送到目标的字节数。 |
| SrcDvcDomain |
string |
从中启动了会话的设备的域。 |
| SrcDvcFqdn |
string |
在其中创建了日志的主机的完全限定域名。 |
| SrcDvcHostname |
string |
源设备的设备名称。 |
| SrcDvcIpAddr |
string |
不直接与网络数据包关联的设备的源 IP 地址(由提供程序收集,或显式计算)。 |
| SrcDvcMacAddr |
string |
不直接与网络数据包关联的设备的源 MAC 地址。 |
| SrcDvcModelName |
string |
源设备的型号。 |
| SrcDvcModelNumber |
string |
源设备的型号。 |
| SrcDvcOs |
string |
源设备的 OS。 |
| SrcDvcType |
string |
源设备的类型。 |
| SrcGeoCity |
string |
与源 IP 地址关联的城市。 |
| SrcGeoCountry |
string |
与源 IP 地址关联的国家/地区。 |
| SrcGeoLatitude |
real |
与源 IP 地址关联的地理坐标的纬度。 |
| SrcGeoLongitude |
real |
与源 IP 地址关联的地理坐标的经度。 |
| SrcGeoRegion |
string |
与源 IP 地址关联的国家/地区中的区域。 |
| SrcInterfaceGuid |
string |
所用网络接口的 GUID。 |
| SrcInterfaceName |
string |
由源设备用来建立连接或会话的网络接口。 |
| SrcIpAddr |
string |
从中发起了连接或会话的 IP 地址。 |
| SrcMacAddr |
string |
从中发起了连接或会话的网络接口的 MAC 地址。 |
| SrcNatIpAddr |
string |
如果中介 NAT 设备(例如防火墙)报告了该值,则该值是由 NAT 设备用来与目标通信的 IP 地址。 |
| SrcNatPortNumber |
int |
如果中介 NAT 设备(例如防火墙)报告了该值,则该值是由 NAT 设备用来与目标通信的端口。 |
| SrcPackets |
long |
从连接或会话的源发送到目标的数据包数。 数据包的含义由报告设备定义。 |
| SrcPortNumber |
int |
从中发起了连接的 IP 端口。 可能与包含多个连接的会话无关。 |
| SrcResourceId |
string |
生成消息的设备的资源 ID。 |
| SrcUserAadId |
string |
位于会话源端的用户的 Azure AD 帐户对象 ID。 |
| SrcUserDomain |
string |
启动会话的帐户的域。 |
| SrcUserName |
string |
与会话源关联的标识的用户名。 通常,这是在客户端上执行操作的用户。 |
| SrcUserSid |
string |
与会话源关联的标识的用户 ID。 通常,这是在客户端上执行操作的用户。 |
| SrcUserUpn |
string |
启动会话的帐户的 UPN。 |
| SrcZone |
string |
源的网络区域,由报告设备定义。 |
| TenantId |
string |
Log Analytics 工作区 ID |
| ThreatCategory |
string |
安全系统(例如 IPS 的 Web 安全网关)识别到的威胁的类别,与此网络会话相关联。 |
| ThreatId |
string |
安全系统(例如 IPS 的 Web 安全网关)识别到的威胁的 ID,与此网络会话相关联。 |
| ThreatName |
string |
识别到的威胁或恶意软件的名称。 |
| TimeGenerated |
datetime |
事件的发生时间,由报告源报告。 |
| 类型 |
字符串 |
表的名称 |
| UrlCategory |
string |
与内容(即:成人、新闻、广告、托管域等)相关的 URL 的已定义分组(或者可能仅基于 URL 中的域)。 |
| UrlHostname |
string |
HTTP/HTTPS 网络会话的 HTTP 请求 URL 的域部分。 |
| UrlOriginal |
string |
HTTP/HTTPS 网络会话的 HTTP 请求 URL。 |